实验3:操作系统安全
一、实验目的:
通过实验掌握Windows账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模板的使用、审核和日志的启用、本机漏洞检测软件MBSA的使用,建立一个Windows操作系统的基本安全框架。
二、实验原理
我们从账户口令、文件系统、日志和审核、安全漏洞扫描等方面对indows操作系
统安全进行介绍。 1.账户和口令
账户和口令是登录系统的基础,也是众多黑客程序攻击和窃取的对象。因此,系统
账户和口令的安全是非常重要的,也是可以通过合理设置来实现的。普通用户常常在安
装系统后长期使用系统的默认设置,忽视了Windows系统默认设置的不安全性,而这些
不安全性常常被攻击者利用,通过各种手段获得合法的账户,进一步破解口令。所以,
首先需要保障账户和密码的安全。 2. 文件系统
磁盘数据被攻击者或本地的其它用户破坏和窃取是经常困扰用户的问题,文件系统
的安全问题也是非常重要的。Windows系统提供的磁盘格式有FAT、FAT32以及NTFS。
其中,FAT格式和FAT32格式没有考虑对安全性方面的更高需求,例如无法设置用户访
问权限等。NTFS文件系统是Windows操作系统中的一种安全的文件系统,管理员或用
户可以设置每个文件夹的访问权限,从而限制一些用户和用户组的访问,以保障数据的 安全。
3.数据加密软件EFS
当用户的计算机在没有足够物理保护的地方使用时,或者发生计算机或磁盘的被窃、被拆换,在所有这些情况下,保密的数据都可能被窃取,造成重要数据的丢失。采用加密文件系统(EFS)的加密功能对敏感数据文件进行加密,可以加强数据的安生性,并且减小计算机、磁盘被窃或者被拆换后数据失窃的隐患。EFS采用了对称和非对称两种加密算法对文件进行加密,首先系统利用生成的对
称密钥将文件加密成为密文,然后采用EFS证书中包含的公钥将对称密钥加密后与密文附加在一起。文件采用EFS加密后,可以控制特定的用户有权解密数据.这样即使攻击者能够访问计算机的数据存储器,也无法读取用户数据。只有拥有EFS证书的用户.采用证书中公钥对应的私钥,先解密公用加密的对称密钥,然后再用对称密钥解密密文,才能对文件进行读写操作.EFS属于NTTS文件系统的一项默认功能,同时要求使用EFS的用户必须拥有在NTFS卷中修改文件的权限。
4. 审核与日志
为了便于用户监测当前系统的运行状况,Windows系统中设置了审核与日志功能.
审核与日志是Windows系统中最基本的入侵检测方法,当有攻击者尝试对系统进行某些方式的攻击时,都会被安全审核功能记录下来,写入到日志中。一些Windows下的应用程序,如IIS(Internet信息服务器),也带有相关的审核日志功能,例如,IIS的FTP日志和WWW日志等。IIS每天生成一个日志文件,包含了该日的一切记录.例如,试图通过网络登陆系统的IP地址等。文件名通常为ex(年份)(月份)(日期),例如,ex050123,就是2005年1月23日产生的日志。IIS的WWW日志在系统盘中\%systemroot%\\system32\\logfiles\\w3svcl\目录下,FTP日志在\%systemroot%\system32\loghiles\\msftpSvcl\目录下。而系统日志、安全性日志和应用程序日志分别为\%Systemroot%\System32\\config文件夹下的3个文件 5.安全模板
Windows系统中的安全设置项目繁多,包括账户策略、本地策略、事件日志、受限
制的组、系统服务、注册表和文件系统等。—一设置这些安全项目相当复杂,为了提高系统安全世设置的简易性,微软在Windows系统中提供了不同安全级别的安全模板,不
同安全级别的模板包含了不同安全性要求的配置项目。用户只要简单地根据需要选择启用相应的模板,即可自动按照模板配置各项安全属性。对部分模板的意义做如下说明:setup security.inf: 全新安装系统的默认安全设置basicws.inf:基本的安全级别compatws.inf:将系统的 NTFS和 ACL设置成安全层次较低的 NT 4.0设置securews.inf: 提供较高安全性的安全级别
hisecws.inf:提供高度安全性的安全级别上述模板文件名的后面两个字符,ws代表 workstation&server,dc代表 domain
controller。Windows系统也支持用户自己构建模板。 6. MBSA(Microsoft Baseline Security Analvzer)
要检查当前系统是否符合一定的安全标准,手动逐项检查的过程是非常繁杂的。Microsoft 提供了自动检查Windows系统漏洞的安全审计工具MBSA。它将从微软的升级服务器中下载最新的补丁包文件.检查Windows系统中是否安装了最新的安全补丁。 此外.它还可以对系统漏洞、IIS漏洞、SQLServer数据库以及IE、OFFICEE等应用程序
三、实验内容:
1、 帐户和口令的安全设置。 2、 启用审核和日志查看
3、 启用安全策略和安全模板 4、 利用注册表优化系统的安全 5、 配置Windows XP 服务
四、实验步骤:
第一部分:帐户和口令的安全设置。
删除不再使用的帐户; 禁用guest帐户
在guest组中设置一个administrator帐号,并给于一个复杂的密码 帐户锁定策略
限制用户错误登录次数为3次且锁定机器后30分钟后才复位 如图所示:
1、帐户安全策略:
2、启用密码策略:
a)启用密码必须符合复杂性要求; b)设置密码长度最小值为7位; c) 设置密码最长寸留期为42天; d)密码最短存留期为7天; e)强制密码历史为3个。 如图所示:
3、开机设置为“不自动显示上次登录帐户”。如下图: 4、禁止枚举帐户名,如下图:
思考题:启用了密码策略后新建一个用户Student,密码123,会出现什么问题?
可以以截屏方式回答。
第二部分:文件系统的安全设置。
1、去除父系文件夹的继承权限 2、删除everyone组的操作权限
3、设置其余组对该文件夹的操作权限 用截屏方式显示操作过程。
第三部分:用加密软件EFS加密硬盘数据。
1、 新建一个名为Student的用户;
2、 选择要加密的文件夹打开属性对其进行加密;
3、注销并用Student登录再次访问加密的文件夹,结果用截屏方式显示。
第四部分:启用审核和日志查看。
1、打开审核策略